១. ព័ត៌មានទូទៅ
បុគ្គលិកនៅតាមស្ថាប័ននានាអាចនឹងប្រើពាក្យសម្ងាត់ខ្សោយ ឬងាយទាយបានសម្រាប់គណនីរបស់គេ ដែលនឹងធ្វើឱ្យមានភាពងាយស្រួលសម្រាប់ហេកគ័រ និងឧក្រិដ្ឋជនសាយប័រក្នុងការជ្រៀតចូលប្រព័ន្ធ។ ដូចនេះ ការដាក់បញ្ចូលកម្រងពាក្យសម្ងាត់ហាមឃាត់ (custom dictionary wordlist) ទៅក្នុងគោលការណ៍ពាក្យសម្ងាត់ (password policy) របស់ស្ថាប័នជាមធ្យោបាយល្អដើម្បីទប់ស្កាត់បញ្ហានេះ។
២.លក្ខណៈនៃកម្រងពាក្យសម្ងាត់ហាមឃាត់
កម្រងពាក្យសម្ងាត់ហាមឃាត់គឺជាកម្រងដែលមានពាក្យ ឃ្លា និងបន្សំតួអក្សរ ដែលអ្នកប្រើប្រាស់ត្រូវបានហាមឃាត់មិនឱ្យប្រើនៅពេលបង្កើតពាក្យសម្ងាត់សម្រាប់គណនីធ្វើការរបស់គេ។ កម្រងពាក្យសម្ងាត់ហាមឃាត់គួរមានរួមបញ្ចូល ពាក្យសម្ងាត់ទូទៅ និងឃ្លាប្រើក្នុងវិស័យនៃស្ថាប័ន ក៏ដូចជាវាក្យស័ព្ទពិសេសរបស់ស្ថាប័នផងដែរ៖
- ពាក្យសម្ងាត់ទូទៅ៖ ពាក្យសម្ងាត់ធម្មតា និងងាយទាយបានគួរត្រូវបញ្ចូលក្នុងកម្រងពាក្យសម្ងាត់ហាមឃាត់។ ឧទាហរណ៍រួមមានឃ្លាទូទៅ ឃ្លាលើក្តារចុច (qwerty, -ល-) ពាក្យដដែលៗ ពាក្យប្រជាប្រិយថ្មីៗ និងពាក្យសម្ងាត់ដែលមាននៅក្នុងកម្រងពាក្យសម្ងាត់ទូទៅ និងធ្លាប់លេចធ្លាយដែលរកឃើញនៅលើអ៊ីនធឺណិត។
- វាក្យស័ព្ទតាមវិស័យ៖ បុគ្គលិកចូលចិត្តប្រើវាក្យស័ព្ទពាក់ព័ន្ធនឹងវិស័យនៃការងាររបស់គេនៅពេលបង្កើតពាក្យសម្ងាត់។ ជាឧទាហរណ៍ នៅក្នុងវិស័យទូរគមនាគមន៍ ពាក្យដែលគេនិយមប្រើក្នុងពាក្យសម្ងាត់មានដូចជា telecom, internet, network, និង cyber ជាដើម។
- វាក្យស័ព្ទពិសេសរបស់ស្ថាប័ន៖ ឧក្រិដ្ឋជនសាយប័រដែលប៉ងវាយប្រហារជ្រៀតចូលប្រព័ន្ធស្ថាប័ននឹងព្យាយាមទាយពាក្យសម្ងាត់របស់បុគ្គលិកស្ថាប័ន ហើយភាគច្រើន គេនឹងផ្ដើមទាយដោយប្រើវាក្យស័ព្ទដែលទាក់ទងនឹងស្ថាប័ន។ វាក្យស័ព្ទទាំងនេះរួមមានឈ្មោះស្ថាប័ន អក្សរកាត់នានាដែលពាក់ព័ន្ធនឹងស្ថាប័ន ឈ្មោះសាខា ឈ្មោះនាយកដ្ឋានឬផ្នែក និងឈ្មោះផលិតផលជាដើម។
៣.សារៈសំខាន់នៃកម្រងពាក្យសម្ងាត់ហាមឃាត់
កម្រងពាក្យសម្ងាត់ហាមឃាត់មានសារៈសំខាន់ដោយសារមូលហេតុជាច្រើន៖
- អ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ខ្សោយ ឬងាយទាយបាន៖ អ្នកប្រើប្រាស់ជាច្រើនជ្រើសរើសពាក្យសម្ងាត់ដែលងាយចងចាំ (ហើយងាយស្មាន)។ ពាក្យសម្ងាត់ទាំងនេះរួមមានផ្ទាល់ខ្លួន (ឈ្មោះប្តីប្រពន្ធ -ល-) ពាក្យសាមញ្ញ (admin, password, -ល-) ឬទម្រង់សាមញ្ញៗនៃពាក្យសម្ងាត់ដែលត្រូវបានហាមឃាត់ (qwerty123!, -ល-)។ ជម្រើសងាយចងចាំមួយទៀតគឺពាក្យដែលទាក់ទងនឹងអាជីវកម្ម ឬវិស័យនៃអាជីវកម្ម។
- ហានិភ័យនៃការវាយប្រហាររាវពាក្យសម្ងាត់ (brute force / dictionary attacks)៖ ឧក្រិដ្ឋជនសាយប័រតែងតែប្រើវិធីសាស្រ្ត និងកម្មវិធីរាវពាក្យសម្ងាត់ក្នុងការវាយប្រហារ ហើយប្រសិនបើស្ថាប័ន ឬអាជីវកម្មមិនមានកម្រងពាក្យសម្ងាត់ហាមឃាត់ទេ ការវាយប្រហារប្រភេទនេះអាចមានប្រសិទ្ធភាពបំផុត។ ជាឧទាហរណ៍ អ្នកវាយប្រហារអាចបន្ថែមឈ្មោះស្ថាប័ន និងផលិតផលឬសេវាកម្ម ទៅក្នុងកម្រងរាវពាក្យសម្ងាត់របស់ពួកគេ ដោយរំពឹងថាយ៉ាងហោចណាស់ក៏មានបុគ្គលិកមួយចំនួនតូចដែរ ដែលប្រើវាក្យស័ព្ទទាំងនេះក្នុងពាក្យសម្ងាត់របស់គេ។
- វិស្វកម្មសង្គម និងការប៉ងវាយប្រហារលើគោលដៅជាក់លាក់ (targeted attack)៖ ឧក្រិដ្ឋជនសាយប័រអាចប្រមូលព័ត៌មានយ៉ាងងាយស្រួលអំពីស្ថាប័ន និងបុគ្គលិក តាមរយៈប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងប្រភពសាធារណៈផ្សេងទៀត។ បន្ទាប់មក ពួកគេអាចប្រើព័ត៌មាននេះដើម្បីបង្កើតកម្រងពាក្យសម្ងាត់ពិសេសសម្រាប់វាយប្រហារលើស្ថាប័ន។ ការប្រើប្រាស់កម្រងពាក្យសម្ងាត់ហាមឃាត់ដែលរួមបញ្ចូលវាក្យស័ព្ទពិសេសប្រើប្រាស់ក្នុងស្ថាប័ន ព័ត៌មានទូទៅរបស់បុគ្គលិក និងពាក្យប្រើក្នុងវិស័យរបស់ស្ថាប័ន អាចជួយរារាំងការវាយប្រហារប្រភេទនេះបានមួយកម្រិតបន្ថែម។
ការដាក់បញ្ចូលកម្រងពាក្យសម្ងាត់ហាមឃាត់ទៅក្នុងគោលការណ៍ពាក្យសម្ងាត់ធ្វើឱ្យពាក្យសម្ងាត់នៅក្នុងស្ថាប័នរបស់អ្នកកាន់តែរឹងមាំ ដោយផ្តល់ឱ្យស្ថាប័នរបស់អ្នកនូវស្រទាប់ការពារបន្ថែមប្រឆាំងនឹងការវាយប្រហារដោយប្រើព័ត៌មានសម្ងាត់ដូចជាការរាវពាក្យសម្ងាត់ជាដើម។
៥. ឯកសារពាក់ព័ន្ធ
– https://www.bleepingcomputer.com/news/security/why-your-password-policy-should-include-a-custom-dictionary-wordlist/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.
